Wróć do bloga
10 września 2024Maria Chmielewska, Aplikant Radcowski

Dyrektywa NIS 2

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (NIS 2) powinna być transponowana przez państwa członkowskie do 17 października 2024 roku.

W Polsce prace nad implementacją NIS 2 są na początkowym etapie – aktualnie projekt ustawy zmieniającej ustawę o krajowym systemie cyberbezpieczeństwa jest na etapie uzgodnień. W związku z tym Polska prawdopodobnie nie ma szans na terminowe zaimplementowanie NIS 2.

Celem NIS 2 jest osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, aby poprawić funkcjonowanie rynku wewnętrznego. Dyrektywa określa przede wszystkim:

  • obowiązki dla państw członkowskich w zakresie przyjęcia krajowych strategii cyberbezpieczeństwa oraz wyznaczenia lub powołania właściwych organów;
  • środki zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki w zakresie zgłaszania incydentów dla podmiotów objętych Dyrektywą;
  • zasady i obowiązki w zakresie wymiany informacji o cyberbezpieczeństwie;
  • obowiązki w zakresie nadzoru i egzekwowania przepisów spoczywające na państwach członkowskich.

 

Zakres zastosowania. NIS 2 dotyczy m.in. podmiotów publicznych i prywatnych, wskazanych w załącznikach do Dyrektywy, które mogą być zakwalifikowane jako średni przedsiębiorcy albo które przekraczają pułapy wyznaczone dla średnich przedsiębiorców. Dyrektywa ma również zastosowanie do niektórych innych podmiotów.

Podmioty zawarte w załącznikach do NIS 2 to podmioty kluczowe i ważne z takich sektorów gospodarki jak:

  • energetyka
  • usługi pocztowe i kurierskie
  • gospodarowanie odpadami
  • produkcja, wytwarzanie i dystrybucja chemikaliów
  • produkcja, przetwarzanie i dystrybucja żywności
  • produkcja: wyrobów medycznych, komputerów, urządzeń elektrycznych, maszyn i urządzeń niesklasyfikowanych, pojazdów, samochodów, przyczep i naczep, sprzętu transportowego
  • dostawcy usług cyfrowych, w tym dostawcy internetowych platform handlowych
  • badania naukowe.


Obowiązki wynikające z NIS 2: Dla podmiotów podlegających pod zakres zastosowania NIS 2, Dyrektywa przewiduje szereg nowych obowiązków, m.in.

  • przyjęcie środków zarządzania ryzykiem;
  • odbywanie przez członków organów zarządzających podmiotów szkoleń mających na celu zdobycie wiedzy pozwalającej na rozpoznawanie ryzyka;
  • zgłaszanie poważnych incydentów – zgłoszenie wczesne (24h) oraz zgłoszenie incydentu (72h);
  • przygotowanie sprawozdania końcowego w ciągu miesiąca po zgłoszeniu incydentu;
  • powiadomienie odbiorców usług o środkach zaradczych lub innych środkach;
  • stosowanie konkretnych produktów, usług i procesów ICT;
  • wymianę informacji na temat cyberbezpieczeństwa z innymi podmiotami.


Wymogi dotyczące środków zarządzania ryzykiem

Środki zarządzania ryzykiem powinny opierać się na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami. Środki te powinny obejmować m.in. polityki analizy ryzyka i bezpieczeństwa systemów informatycznych, obsługę incydentu, ciągłość działania, podstawowe praktyki cyberhigieny i szkolenia w tym zakresie, bezpieczeństwo zasobów ludzkich i inne.

Czym jest „incydent” w rozumieniu NIS 2?

Incydent oznacza zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem.

NIS 2 przewiduje zgłaszanie incydentów, które mogą być zakwalifikowane jako poważne. Za incydent poważny uznaje się incydent, który:

  • spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;
  • wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

Zgodnie z NIS 2 jeżeli podmiot kluczowy lub ważny dowie się o poważnym incydencie, powinien mieć obowiązek wydania wczesnego ostrzeżenia w ciągu 24 godzin. Po dokonaniu wczesnego ostrzeżenia, dany podmiot powinien w ciągu 72 godzin od powzięcia informacji o poważnym incydencie przekazać do organu zgłoszenie sensu stricto.

Obok obowiązku dokonywania zgłoszeń, NIS 2 nakłada na podmioty kluczowe i ważne obowiązek sprawozdawczy. Sprawozdanie końcowe powinno być złożone w ciągu miesiąca od właściwego zgłoszenia incydentu.

Poważne incydenty powinny być zgłaszane do odpowiedniego organu, wyznaczonego przez dane państwo członkowskie jako organ  odpowiedzialny za cyberbezpieczeństwo.

Egzekwowanie NIS 2

Obowiązkiem państw członkowskich jest wyznaczenie organów nadzoru nad wykonywaniem obowiązków wynikających z Dyrektywy. Zgodnie z NIS 2 organy nadzoru mają uprawnienie m.in. do nakładania sankcji dyscyplinujących oraz administracyjnych.

Przykładowo należy wskazać na takie uprawnienia organów jak: wydawanie ostrzeżeń, wydawanie wiążących instrukcji lub nakazów, wyznaczenie inspektora monitorującego wykonywanie obowiązków z Dyrektywy, dokonywanie inspekcji na miejscu, żądanie dostępu do danych, dokumentów i informacji, tymczasowe zawieszanie zezwolenia podmiotu na usługi lub działalność, zakazywanie pełnienia funkcji zarządczych w podmiocie.

NIS 2 przewiduje bardzo wysokie kary finansowe, które w maksymalnej wysokości mogą wynosić 10.000.000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego która kwota jest wyższa.